Blog » IT-Updates mit netgo

DORA – Digital Operational Resilience Act unter der Lupe

Geschrieben von Admin | 21.1.25

Das Wichtigste in Kürze:

  • Die seit 17. Januar 2025 geltende DORA-Verordnung fordert von Finanzunternehmen und IT-Dienstleistern in der Europäischen Union (EU) ein umfassendes Risikomanagement, regelmäßige Resilienz-Tests und die Meldung von Sicherheitsvorfällen.
  • Durch eine strenge Regulierung von Drittanbietern unterliegen IT-Dienstleister, z. B. Cloud-Anbieter oder Zahlungsabwickler, verstärkten Kontrollen, um Cyberrisiken zu minimieren.
  • Die Einhaltung der DORA-Verordnung wird von EU-Behörden überwacht, Verstöße können zu Geldstrafen und regulatorischen Einschränkungen führen. 

 

Inhaltsverzeichnis:

 

DORA ist da: Worum geht es bei der EU-Verordnung genau? 

Als Verordnung der EU wurde DORA bereits im Dezember 2022 verabschiedet und ist am 17. Januar 2025 in Kraft getreten. Dabei ist eine Vielzahl von Unternehmen aus dem Finanzbereich betroffen, u. a. Banken, Versicherungen, Zahlungsdienstleister und IT-Drittanbieter. 

Die Verordnung sieht einige Maßnahmen vor, die die betroffenen Unternehmen umzusetzen haben. Ähnlich wie bei der NIS-2-Richtlinie legt die DORA-Verordnung verpflichtende Maßnahmen im IT-Risikomanagement fest, außerdem wird die Erstellung von Notfallplänen gefordert und das zeitnahe Melden IKT-bezogener Vorfälle sowie regelmäßige Resilienz- und Penetrationstests werden ebenfalls gefordert.  

Darüber hinaus soll eine verstärkte Kontrolle und ein umfassendes Risikomanagement hinsichtlich Drittanbietern sichergestellt werden, beispielsweise gegenüber Zahlungsdienstleistern. 

 

Wen betrifft DORA und welche Unternehmen müssen sich daran halten?

Prinzipiell richtet sich die Verordnung an Finanzunternehmen und deren IT-Drittanbieter, die in der EU tätig sind. Die Verordnung gilt direkt und verpflichtend für die betroffenen Unternehmen. 

Diese lassen sich in zwei Kategorien teilen: 

Finanzinstitute  IT-Dienstleister mit kritischer Infrastruktur 
  • Banken und Kreditinstitute 
  • Versicherungen 
  • Wertpapierfirmen und Investmentgesellschaften 
  • Pensionsfonds 
  • Krypto-Dienstleister wie Wallet-Anbieter oder Krypto-Börsen 
  • Finanzmarktinfrastrukturen wie Börsen 
  • Cloud-Anbieter und andere IT-Drittanbieter 
  • Software-Anbieter für Banken und Versicherungen 
  • Zahlungsabwickler und Plattformen 
  • Dienstleister im Bereich Cybersecurity 
  • Datenanalysten und KI-Dienstleister im Finanzsektor 

Die Nichteinhaltung der Pflichtmaßnahmen kann mit Geldstrafen geahndet werden, außerdem ist die Rede von möglichen regulatorischen Einschränkungen. Kritische IT-Dienstleister können somit von den Aufsichtsbehörden dazu verpflichtet werden, ihre Sicherheitsmaßnahmen zu verbessern oder ihren Betrieb in der EU anzupassen. 

 

Die wichtigsten Anforderungen von DORA im Überblick 

Der Digital Operational Resilience Act (DORA) stellt fünf zentrale Anforderungen an Finanzunternehmen und ihre IT-Drittanbieter. Durch ihre Umsetzung sollen Cyberrisiken minimiert und die digitale Widerstandsfähigkeit der Unternehmen gestärkt werden. 

Dabei geht es um folgende Aspekte: 

 



1) IKT-Risikomanagement 

Die betroffenen Unternehmen müssen über die folgenden Maßnahmen ein umfassendes IKT-Risikomanagement implementieren: 

  • Identifikation, Bewertung und Minimierung von IT-Risiken 
  • Etablieren von Sicherheitsrichtlinien und -prozessen 
  • Erstellung von Business-Continuity- und Disaster-Recovery-Plänen 
  • Klare Definition von Verantwortlichkeiten innerhalb der Organisation 

2) IT-Vorfallerkennung, -meldung und -bewältigung 

Betroffene Unternehmen müssen Cyberangriffe und IT-Störungen systematisch erfassen und melden. Dabei kommt es im Wesentlichen auf die folgenden Schritte an: 

  • Meldung schwerwiegender Vorfälle an die zuständigen Behörden 
  • Dokumentation und Analyse von Sicherheitsvorfällen 
  • Maßnahmen zur Wiederherstellung nach Vorfällen 
  • Informationsaustausch über Cyberbedrohungen mit Behörden und anderen Unternehmen 

3) Eine verbesserte Kontrolle von Drittanbieter-Risiken sowie ein Überwachungs-Framework für Drittdienstleister 

Betroffene Unternehmen müssen ihre IT-Drittanbieter, z. B. Cloud-Services, Softwareanbieter oder Zahlungsdienstleister, aktiv überwachen und mögliche Risiken minimieren. Dabei spielen die folgenden Maßnahmen eine Rolle: 

  • Risikobewertungen und Audits von externen IT-Dienstleistern 
  • Sicherheitsanforderungen in Verträgen mit Drittanbietern 
  • Einsatz alternativer Anbieter für Notfälle (z. B. Multi-Cloud-Strategien) 
  • Überwachung kritischer IT-Drittanbieter durch EU-Behörden 
4) Testen der digitalen operationalen Resilienz 
  • Für die betroffenen Unternehmen wird die Durchführung regelmäßiger Resilienz- und Stresstests zur Pflicht: 
  • Penetrationstests für kritische Systeme 
  • Szenariotests für Cyberangriffe 
  • Übungen zur Notfallbewältigung 
  • Überprüfung der Sicherheitsmaßnahmen 

5) Gemeinsamer Informationsaustausch hinsichtlich Cyberbedrohungen 

Finanzinstitute sollen Informationen zu Cyberrisiken und Angriffsmethoden austauschen, um gemeinsam mit den anderen Akteuren in der Finanzbranche aktiv Bedrohungen zu bekämpfen. Dazu gehören die folgenden Maßnahmen: 

  • Kooperation mit anderen Unternehmen und Behörden 
  • Erfahrungsaustausch zu Cyberangriffen und IT-Risiken 
  • Förderung eines starken, gemeinschaftlichen Sicherheitsnetzwerks 


 

Wichtig zu wissen:  

DORA ist am 17. Januar verbindlich und unmittelbar in Kraft getreten. Aufsichtsbehörden wie EBA, ESMA und EIOPA überprüfen seit dem Stichtag die Einhaltung.  

Sofern die Maßnahmen von betroffenen Unternehmen nicht umgesetzt worden sind, können die Finanzaufsichtsbehörden Geldstrafen und Sanktionen verhängen. Insbesondere für kritische IT-Dienstleister sind sogar Betriebseinschränkungen möglich. 

 

DORA vs. NIS-2: Wo liegen die Unterschiede?

Einige der geforderten Maßnahmen aus der DORA-Verordnung mögen an die NIS-2-RIichtlinie erinnern. Tatsächlich verfolgen beide gesetzliche Regelungen das Ziel, die Cybersicherheit zu stärken, unterscheiden sich jedoch in ihrem Anwendungsbereich und ihren Schwerpunkten.  

Nachfolgend zeigen wir die wesentlichen Unterschiede zwischen beiden Regelwerken auf.

 

Digitale Resilienz im Finanzsektor mit DORA

Die seit 17. Januar 2025 geltende DORA-Verordnung stellt einen bedeutenden Meilenstein für die digitale Widerstandsfähigkeit des Finanzsektors in der EU dar. Sie betrifft nicht nur Banken, sondern auch Versicherungen, FinTechs, Krypto-Dienstleister und IT-Drittanbieter.  

Angesichts der zunehmenden Digitalisierung und der wachsenden Bedrohung durch Cyberangriffe setzt DORA verbindliche Standards für Finanzunternehmen und deren IT-Dienstleister. 

Im Vergleich zur NIS-2-Richtlinie, die auf eine breitere Palette kritischer Infrastrukturen abzielt, fokussiert sich DORA spezifisch auf den Finanzsektor und dessen digitale Betriebsstabilität. 

Die fünf zentralen Anforderungen – vom IKT-Risikomanagement über Vorfallmeldung bis hin zur Kontrolle von Drittanbietern – tragen dazu bei, Risiken frühzeitig zu erkennen und die operative Resilienz zu stärken. 

Doch unabhängig von der gesetzlichen Pflicht sind die geforderten Maßnahmen essenziell für die Sicherheit in der Finanzbranche. Die Umsetzung ermöglicht es den einzelnen Akteuren sich besser vor Cyberangriffen zu schützen und ihre digitale Resilienz zu verbessern. 

Ein ganzheitlicher Ansatz in der IT-Sicherheit wird deshalb immer wichtiger. Wenn Sie Unterstützung dabei brauchen, ist das Team der netgo gerne an Ihrer Seite – mit zeitgemäßen Lösungen aus einer Hand und der passenden Beratung.
Vollständigen Beitrag anzeigen